Nuevo spyware LandFall explotó una vulnerabilidad de día cero de Samsung

Iniciado por AXCESS, Noviembre 13, 2025, 12:11:22 AM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Noviembre 13, 2025, 12:11:22 AM


Un ciberdelincuente aprovechó una vulnerabilidad de día cero en la biblioteca de procesamiento de imágenes de Android de Samsung para desplegar un spyware desconocido hasta entonces, llamado «LandFall», mediante imágenes maliciosas enviadas a través de WhatsApp.

El problema de seguridad se solucionó en abril de este año, pero los investigadores hallaron evidencia de que LandFall estuvo activo desde al menos julio de 2024 y tuvo como objetivo a usuarios específicos de Samsung Galaxy en Oriente Medio.

Identificada como CVE-2025-21042, esta vulnerabilidad de día cero es una escritura fuera de límites en You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login y tiene una gravedad crítica. Un atacante remoto que la explote con éxito puede ejecutar código arbitrario en el dispositivo objetivo.

Según investigadores de Unit 42 de Palo Alto Networks, el spyware LandFall probablemente sea un sistema de vigilancia comercial utilizado en intrusiones dirigidas.

Los ataques comienzan con la entrega de una imagen sin procesar .DNG malformada a la que se le adjunta un archivo .ZIP al final.

Archivo ZIP incrustado en la imagen


Los investigadores de Unit 42 recuperaron y examinaron muestras enviadas a la plataforma de análisis VirusTotal a partir del 23 de julio de 2024, las cuales, según los nombres de archivo utilizados, indicaban WhatsApp como el canal de distribución.

Desde una perspectiva técnica, los DNG incorporan dos componentes principales: un cargador (b.so) que puede recuperar y cargar módulos adicionales, y un manipulador de políticas SELinux (l.so), que modifica la configuración de seguridad del dispositivo para elevar los permisos y establecer la persistencia.

Diagrama de flujo de aterrizaje


Según los investigadores, LandFall puede identificar dispositivos basándose en el hardware y los identificadores de la tarjeta SIM (IMEI, IMSI, número de tarjeta SIM, cuenta de usuario, Bluetooth, servicios de ubicación o la lista de aplicaciones instaladas).

Sin embargo, entre las capacidades adicionales observadas se incluyen la ejecución de módulos, la persistencia en el sistema, la evasión de la detección y la elusión de las protecciones. Entre las funciones de espionaje, el malware incluye:

grabación de micrófono

grabación de llamadas

rastreo de ubicación

acceso a fotos, contactos, SMS, registros de llamadas y archivos

acceso al historial de navegación

Según el análisis de Unit 42, el spyware tiene como objetivo los dispositivos de las series Galaxy S22, S23 y S24, así como los Z Fold 4 y Z Flip 4, abarcando una amplia gama de los últimos modelos insignia de Samsung, con la excepción de los dispositivos de la serie S25.

Cabe destacar que LandFall y su uso de imágenes DNG constituyen otro ejemplo de la explotación generalizada observada recientemente en herramientas de spyware comerciales.

En el pasado, se han detectado cadenas de explotación que involucran el formato DNG para iOS de Apple. Samsung ha detectado vulnerabilidades como CVE-2025-43300 y CVE-2025-55177 en WhatsApp.

Además, Samsung solucionó recientemente la vulnerabilidad CVE-2025-21043, que afecta a You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login, tras ser descubierta y reportada por investigadores de seguridad de WhatsApp.

Cronología de la explotación de fallos en el procesamiento de DMG


Atribución poco clara

Los datos de las muestras de VirusTotal que examinaron los investigadores indican posibles objetivos en Irak, Irán, Turquía y Marruecos.

La Unidad 42 logró identificar y correlacionar seis servidores de comando y control (C2) con la campaña LandFall; algunos de ellos habían sido señalados por el CERT de Turquía por su actividad maliciosa.

Los patrones de registro de dominios y de infraestructura de los servidores C2 presentan similitudes con los observados en las operaciones de Stealth Falcon, originadas en los Emiratos Árabes Unidos.

Otra pista es el uso del nombre «Bridge Head» para el componente de carga, una convención de nombres común en los productos de NSO Group, Variston, Cytrox y Quadream.

Sin embargo, no se pudo vincular con certeza LandFall a ningún grupo de amenazas conocido ni a ningún proveedor de spyware.

Para protegerse contra los ataques de spyware, instale las actualizaciones de seguridad de su sistema operativo móvil y aplicaciones con prontitud, desactive la descarga automática de archivos multimedia en las aplicaciones de mensajería y considere activar la «Protección avanzada» en Android y el «Modo de bloqueo» en iOS.

Y algún que otro rezo o velita a su Santo "pudieran" ayudar:

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Fuente:
BleepingComputer
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
Imprimir
Ir Arriba Páginas1
Acciones del Usuario